TP主动式入侵防御系统.ppt

主动式入侵防御系统 开创网络安全的新纪元 2007年4月 议程 TippingPoint公司简介传统安全模式面临的挑战总结TippingPoint主动式防御系统的价值TippingPoint主动式防御系统的特色在商业银行中部署主动式防御系统的建议成功案例介绍 TippingPoint 公司介绍 通过3Com收购TippingPoint证明TP是入侵防御系统的技术领导者2002年1月 推出第一个入侵防御解决方案入侵防御系统荣获本领域的主要奖项2005年1月 3COM花巨资收购TippingPoint约200名员工 位于美国德克萨斯州的奥斯汀拥有深层安全领域的专家和经验丰富的管理层来自于Cisco SANS NetSpeed Alcatel IBM Efficient Motive最好的技术投次数千万美元用于核心技术的研究和开发最先进的软件和高速的并行处理技术 拥有多项专利技术的定制数据包处理ASIC技术 提供了无可比拟的高性能 议程 TippingPoint公司简介传统安全模式面临的挑战总结TippingPoint主动式防御系统的价值TippingPoint主动式防御系统的特色在商业银行中部署主动式防御系统的建议成功案例介绍 漏洞数量激增网络人员疲于应付 美国媒体6月18日报道 恶意黑客闯入了主要为信用卡服务的CardSystems公司的客户资料库 窃取了美国约4000万信用卡账户的资料 CardSystems为万事达 Master 维萨 VISA 等主要信用卡服务 漏洞数x系统数 不可完成的任务 攻击范围在扩大而时间在缩短 零时差攻击 DDOS攻击对企业构成严重威胁 网络钓鱼严重威胁网络银行业务 用户对网银产生恐惧 或尽量避免使用网络银行进行交易 议程 TippingPoint公司简介传统安全模式面临的挑战总结TippingPoint主动式防御系统的价值IPS实现应用 网络架构和性能保护的短片介绍TippingPoint主动式防御系统的特色在商业银行中部署主动式防御系统的建议成功案例介绍 议程 TippingPoint公司简介传统安全模式面临的挑战总结TippingPoint主动式防御系统的价值TippingPoint主动式防御系统的特色在商业银行中部署主动式防御系统的建议成功案例介绍 现有的网络安全模型 Extranet PrivateWAN Internet Users Avg BW 100Mbps Avg BW 100Mbps Avg BW 1Gbps Avg BW 100Mbps 有公共DMZ的具安全广播域 IDS用于信息安全的辩析和审计 DMZWebFTPSMTPDNS L2Switch L2Switch L3Switch IDS ALERT IDS ALERT IDS ALERT Avg BW Nx1 54MbpsNx45 3Mbps 1 000 sofNetworkElements 广域网边缘 局域网边缘 核心局域网 局域网分发层 局域网接入 仅有防火墙是不够的 不够智能 HTTP 80 Nimda P2P FTP 21 SMTP 25 BackOrifice 31337 蠕虫可以穿透防火墙并迅速传播 导致主机瘫痪 吞噬宝贵网络带宽 P2P等应用 利用80端口进行协商 然后利用开放的UDP进行大量文件共享 导致机密泄漏和网络拥塞 IDS FW 無法防止攻擊 存在弱点的服务器 防火墙 IDS误报和漏报 仅仅告警 南方网 黑客对Web服务器进行漏洞探测 用非法网页替换正常网页获取root权限 植入钓鱼程序 FW策略更新互操作性问题可靠性问题 80端口放过探测 安全管理一日 网络遭受持续的敌意扫描 来自外部 内部的侵入服务器的企图保证你的网页不被替换的挑战 DDoS攻击耗尽你网络的带宽 确保你的网络内的主机不被控制而攻击别的网络 责任问题由于携入蠕虫 电子邮件 非法文件共享 蠕虫和病毒在你的防火墙后传播其他的蠕虫攻击你的Web服务器 垃圾邮件企图利用你的邮件服务器作邮件转发内部用户通过P2P泄漏机密信息 你的DNS被攻击 有时根DNS服务时断时续 Extranet PrivateWAN Internet Users Avg BW 100Mbps Avg BW 100Mbps Avg BW 1Gbps Avg BW 100Mbps DMZ Web FTP SMTP DNS L2Switch L3Switch L2Switch Avg BW Nx1 54MbpsNx45 3Mbps 10 sofNetworkElements 10 sofNetworkElements wireless wireless IPS构建网络安全新模式 广域网边缘 局域网边缘 核心局域网 局域网分布层 局域网接入 网络架构保护 应用保护 性能保护 TPIPS特点之一 线内工作模式 只有在线内对流量进行处理 才能使IPS真正阻挡出现在网络上的攻击 IPS能在一个攻击发生危害之前 对其实施阻挡 全透明即插即用 线内操作明显减轻了终端安全管理的压力 PopUpBlockerSpywareAdwareAnti VirusPersonalFWContentFilterSpamFilterIPSecClientCitrixClient X1000个以上用户 无法管理 与操作系统有关与设备有关升级的噩梦迥异的解决方案 市场不再需要更多的终端软件安全解决方案 购买 配置 分发 安装 维护以及管理这些软件将是一场恶梦 更多的客户端软件 ClientSoftwareApplications TPIPS特点之二 交换机一样的性能 IPS必须像千兆交换机一样的高吞吐量和低延时高呑吐量IPS的呑吐量必须与网络中的其它网络设备的性能相匹配由于IPS要对每一个数据包进行检查 因此在实际的具有各种流量的网络中测试是非常重要的Smartbits和CAW是不可能模拟出来低延时对于在多数的应用 端到端的性能与延时成反比加倍的延时使得完成一个任务花费二倍多的时间现代网络 局域网的延时大约200微秒校园网的延时大约在500微秒 延时 呑吐量 威胁防御引擎 TSE 确保高性能 基于特定ASIC FPGA NP的最新硬件解决方案支持10 000条以上并行过滤器微秒级的低延时 小于215微秒 10多项专利 流状态表 Multi flowAnalysis基线异常流量检测 IP碎片重组 TCP流重组 第七层的数据包流进行检查并行处理正则表达式匹配协议解码 流量整形 数据流分类和标识 数据包丢弃和重定向 报警和通知 标准化 n 可编程过滤器 1 2 3 TPIPS特点之三 高可用性和冗余性 热插拔 冗余电源内置Watchdog安全和管理引擎自动和手动切换到二层透明模式99 999 的高可用性 网络状态冗余Active ActiveActive Passive没有IP地址或MAC地址对网络协议协议透明HSRP VRRP OSPF Spanningtree 状态保持热备份 内置的高可用性 L2FallBack TPIPS特点之四 精准主动防御 及时更新 防御零时差攻击覆盖已有攻击是基本TippingPoint提供数字疫苗进行及时更新要有反黑客哄骗的能力IP必须具有规避反制能力 IP碎片和交迭TCP碎片和交迭 TCPfragmentationandoverlap 十六进制编码和统一编码标准 Hexencodingandunicode 变形攻击 Polymorphicattacks 等等高度的精确性从不阻断一个合法流量 没有误报决不放过任何攻击流量 没有漏报自动阻断新的攻击 数字疫苗防御零时差攻击 SANSCERTVendorAdvisoriesBugtraqVulnWatchPacketStormSecuriteam 数字疫苗能够自动分发到用户的IPS 大规模分发系统通过AkamaiCND在56个国家的9 700个服务器进行分发 RISKWeeklyReport 过滤器类型签名 Signature 漏洞 Vulnerability 异常流量和 或 异常流量统计 数字疫苗保证防御的及时性 时间间隙 安全窗口 时间从以前的几个月到现在的几天 一旦蠕虫出现 有漏洞危险的主机受到保护蠕虫在几分钟内会全球扩散Slammer蠕虫在10分钟内攻击了90 有漏洞的机器 攻击者在准备攻击 危险即将来临 冲击波蠕虫 Blaster 是在攻击码出现二天后开始的攻击 漏洞公布 攻击码出现 蠕虫出现 所有有漏洞的主机受到威协 数字疫苗在几小时内分发到客户的IPS TippingPoint为客户及时提供保护 杀毒软件在病毒爆发后提供 解药 被动防御 数字疫苗不但保证精度而且具有广度 从2002年2月 TippingPoint发布第一台入侵防御系统开始 为应对各种动态攻击和满足用户需求 不断开发针对不同领域的数字疫苗 Feb2002TippingPointLaunchesfirstIPS 漏洞防护 Jan 2004Mydoom AExplodes 病毒防护 VoIP 基于应用流量整形 P2P IM etc 高级DDOS June 2004NewVoIPDigitalVaccinecapabilitiesannounced August 2004AdvancedDDOScapabilitiesannounced November 2004FirstIPStoprovideSpywareCoverage 间谍软件 IPS规避反制举例 TCP流重组和攻击防御 当收到形成攻击的最后一个包 才触发相应的操作动作给这个流加上标志 并且对这个流的以后数据包采取相同的操作如这个操作动作是阻挡 这个流相继的数据包都给阻止如该操作动作是报警 继续检查该数据流 看是否和某个阻挡规则匹配阻挡规则比报警规则具有更高的优先级规则的优先级 随着用户对操作动作设置的更改而变 TCP流 虚拟软件补丁技术 一个漏洞 弱点 就是软件存在的安全缺陷一个攻击就是充分利用某个安全缺陷实现对系统的非授权访问的恶意代码简单攻击过滤器只是仅仅针对一个特定的攻击编写的过滤器由于受到处理器引擎性能限制 过滤器开发人员只能采用这种最基本的过滤器结果 漏报 误报 继续受到攻击TippingPoint的过滤器实际是一个虚拟软件补丁 它能对漏洞进行全面保护 漏洞 特征码 对新威胁的自适应性 高性能的硬件引擎 支持上万条过滤器基于软件的方案扩展性和性能都有问题不得不在过滤器的广度和深度间进行取舍TippingPoint的IPS目前支持2100 过滤器每周都在增加 紧紧跟近SANS报告面对突发情况立即更新威胁抑制引擎支持的过滤器 基于签名的过滤器基于协议异常的过滤器基于流量异常的过滤器大量协议解码器1000 协议 DDOS攻击的发展 SYNFlood伪造的SYN数据包 洪水 般攻击服务器数量巨大 攻击包与正常包100 1 建立连接攻击 EstablishedConnectionFlood 攻击者利用 傀儡计算机 军团 与服务器建立大量 可能上百万 的恶意的TCP连接 傀儡计算机 军团拥有超过10 000台机器每秒连接攻击 ConnectionPerSecondFlood 攻击者利用 傀儡计算机 军团 重复地并且快速地向服务器资源请求 如网页请求 造成服务器负担过重 导致回应迟缓 甚至不可访问 例如 SYNFlood攻击 DoS攻击是导致去年损失最为惨重的计算机犯罪事件 其带来的损失是其它各类攻击造成损失总和的两倍有余 2004年CSI FBI计算机犯罪及安全调查 TippingPoint提供的DOS DDOS防御功能 高级DDOS防御实例 TPIPS特点之三 易于管理 一次性工作全透明 安装快速 即插即用已经设置了大量攻击防御功能 提高效率日常工作配置升级数字疫苗 可以完成自动分发手工定义过滤器 CSW 灵活 方便完善的日志 丰富的报表 友好的界面 UnityOne安全管理系统 SMS SMS是一个硬件并在出厂时预装了管理软件安装简单扩展性强企业级安全管理系统管理多达1000台设备能够对一台设备的不同段 Segment 定制策略支持多个账户和多种权限简洁 友好的管理界面先进策略定义功能丰富的设备配置和监视功能高级审计分析自动报表生成功能 告警通知 1 关键的过滤器触发的邮件通知 告警通知 2 关键的过滤器触发告警可以被汇聚 以避免告警洪流 友好的图形报告 头10位攻击 过滤器告警 流量特征 流量整形 流量阀值 完善的日志功能 告警 阻断 系统 审计 包跟踪 点到点协议 误用和滥用 议程 TippingPoint公司简介传统安全模式面临的挑战总结TippingPoint主动式防御系统的价值TippingPoint主动式防御系统的特色在商业银行中部署主动式防御系统的建议成功案例介绍 IPS部署建议 网络架构保护 Internet HA 连接分支机构 IDS IDS 防网络设备系统漏洞攻击协议异常DDOS攻击阻断蠕虫 病毒 负载均衡器 负载均衡器 IPS部署建议 应用保护 Internet HA IDS IDS 防操作系统漏洞攻击防钓鱼虚拟软件补丁防DDOS攻击阻断蠕虫 病毒阻断间谍软件 木马 负载均衡器 应用服务器 中间件 负载均衡器 Web 邮件 代理服务器 DB服务器 IPS部署建议 性能保护 Internet HA IDS IDS 同一台设备还可以完成 带宽管理限制P2P流量聊天软件未授权应用 负载均衡器 应用服务器 中间件 负载均衡器 Web 邮件 代理服务器 DB服务器 议程 TippingPoint公司简介传统安全模式面临的挑战总结TippingPoint主动式防御系统的价值TippingPoint主动式防御系统的特色在商业银行中部署主动式防御系统的建议成功案例介绍 TippingPointIPS屡获殊荣 FrostandSullivan2005NetworkSecurityInfrastructureProtectionEntrepreneurialCompanyoftheYearTippingPointwasnamedthe2005NetworkSecurityInfrastructureProtectionEntrepreneurialCompanyoftheYearbyFrost Sullivan InformationSecurityMagazine2004ProductoftheYearTippingPointwasselectedbyInformationSecurityMagazineas 2004ProductoftheYear forIntrusionPreventionSystems SCMagazineBestBuyof2004TippingPoint swasselectedbySCMagazineasa BestBuyin2004 forintrusionprevention SCGlobalAwards2005TippingPointwins BestSecuritySolution atthe2005SCGlobalAwards IDGNetworkAwards2004WinnerTippingPointisthewinnerofthe NetworkProtectionProductoftheYear fromIDGandTechW TheprestigiousIDGawardsrecognizetheverybestintheindustryandrewardcompaniesforinnovativeandeffectiveuseofnetworkingtechnology SCMagazineBestBuyTippingPointwasselectedbySCMagazineasa BestBuy intheirgrouptestofintrusionpreventionproducts CommonCriteriaCertificationTippingPointisthefirstIntrusionPreventionSystem IPS toobtainallfourgovernment validatedprotectionprofiles analyzer sensor scannerandsystem SANS TrustedTool TippingPoint sIntrusionPreventionSystemhasbeenselectedasa TrustedTool bytheSANSInstitute theworld spremiersecurityresearchandtrainingorganization eWeekExcellenceAwardTippingPoint sIntrusionPreventionSystemsreceivedthe EnterpriseResourceProtection eWeekExcellenceAwardannouncedintheApril5 2004issueofeWeekMagazine InfoWorld100UniversityofDayton aTippingPointcustomer wasrecognizedasatechnologicalleaderandawardedwiththe InfoWorld100 foritsadvancementsmadethroughimplementingTippingPoint sIntrusionPreventionSystems eWeekLabsAnalyst sChoiceAwardTippingPoint sIPSablyhandledbothrealandstagedattacksoneWEEKLabs testnetwork attachedtotheInternetfornearlyaweek TheTollyGroup UpToSpec Performanceandsecuritybenchmark TippingPoint sIPSdemonstrated100 securityaccuracyat2Gbps CompTIA BestNewProduct TippingPoint sIntrusionPreventionSystemswerenamed BestNewProduct inthehardwarecategoryattheExecutiveBreakaway2003ConferencehostedbyCompTIAinHalifax Canada UniversityBusinessMagazine ShowStopper AwardTippingPoint sIntrusionPreventionSystemswereawardedthe Show Stopper atthe2003EducauseConferenceinAnaheim California NSSGoldAwardTippingPoint sIntrusionPreventionSystemisthefirstandonlyproducttowinthecovetedNSSGoldAwardintheIPSspace TippingPoint部分客户名单 Awards 成功案例 NSSIPS测试 1 通过750个单项测试 评估IPS的性能 安全性和可用性用一年的时间开发测试方法和建立测试环境每个产品进行二周的测试性能在背景流量达到千兆比特 每秒的负载下 测试IPS性能检测率 阻挡率延时和用户响应时间稳定性和可靠性安全性检测的精度和广度反制规避的能力百万会话数时 状态表的操作能力可用性安装 配置 策略编辑 告警处理 报告和分析 成功案例 NSSIPS测试 2 IPS领域的所有顶级厂商参与TippingPoint sUnityOneIPSISS ProventiaNetScreen sIDPTopLayer sAttackMitigatorIPSNetworkAssociate sMcAfeeIntrushieldNetworkAssociate sMcAfeeEnterceptCisco sOkena 成功案例 NSS奖项级别 NSSTested 产品没有严重的测试失败纪录 或没有不充分 NSSApproved 产品通过测试结果良好 NSS授于这个奖项 对于IDS IPS这意味着在攻击识别 性能和可用性上 达到一定的级别 NSSGold 这个奖项需要这个产品满足许多严厉的技术需求 对于IDS IPS这意味着在攻击识别 规避等测试中 必须100 的精确 另外 这个产品必须有一个或多个 独一无二的销售亮点 物有所值 并且具有近乎完美用户体验 BobWalderPresident NSSGroup NSS金奖是一个标准 我们授予给我们认为近乎完美的产品 NSS金奖标准每项测试多达到100 高分易使用 可管理必须有一个或多个 独一无二的特色物有所值近乎完美用户体验 TippingPointUnityOne 最优秀产品 NSS对UnityOne易用性的评价 UnityOne安全管理系统 SMS 被认为最好的产品 我们发现TippingPoint管理系统是最好用的系统 直观的接口 优异的策略管理 并且具有灵活 强大 易用的报警 分析